现有一台EMM设备,7.6.8R1版本,使用awork标准版,有IOS和安卓的终端访问,目前使用https://a.abc.com:10443接入,现在想修改成https://b.abc.com:11443来接入访问,以下几处是需要修改的:
1、需要将移动设备管理的https://a.abc.com:441修改成https://b.abc.com:441,此处如果端口配置为其他端口,不使用441端口,那么出口设备也需要将此端口映射出去,比如配置成https://b.abc.com:10441,那么需要将VPN的10441端口映射到公网上。
2、需要修改应用商店地址,将应用商店地址https://a.abc.com:10443修改成https://b.abc.com:11443。
3、如果用户通过浏览器打开https://b.abc.com:11443无法下载awork,则需要在EMM设置那里重新封装awork,一般苹果终端会出现此问题,安卓终端一般即时不重新封装也可以正常下载。
4、如果之前导入的SSL证书是*.abc.com的证书,那么不用重新导入,如果之前导入的是a.abc.com的SSL证书,那么需要重新导入b.abc.com的SSL证书。
5、如果VPN设备的IP地址需要修改,比如从测试环境改至生产环境,那么要注意内网服务的IP是否需要修改,即资源是否需要修改。
6、如果并不是同一台设备的修改,比如以前是测试设备用在测试环境,现在是另一台设备用在生产环境,这是可以将测试设备的全局配置导入另一台设备,除了修改相关网络配置,IP地址、路由等等,还需要重新封装APP,重新发布至应用商店。
7、如果是此种全局配置导入的情况,由于两台VPN设备的VPNID相同,那么两台设备的应用封装从封装服务器上调用的页面是一样的,也就是封装的APP会覆盖另一台。这种情况需要进任意一台设备后台修改VPNID,但是被修改的这台VPN设备上的IOS企业证书都会丢失,需要重新导入证书,重新封装awork,重新封装APP再发布。
一般做到以上几点即可,另外在EMM设置处有awork下载地址的二维码,那里的下载地址一般只是域名不加端口,可以将其按照实际添加端口,如将https://b.abc.com修改成https://b.abc.com:11443,不过这里修改只会改变二维码,即使不修改也不会影响awork的正常接入使用。
标签归档:EMM
深信服EMM部署注意事项
目前,深信服EMM一般采用7.6.8R1版本,SSL VPN采用7.6.8R2版本。
现在有一台EMM7.6.8R1版本,做awork标准版测试,有苹果和安卓的应用封装。部署的时候有以下的注意点。
1、EMM需要访问公网以下几个地址:
ea.sangfor.com的8800湍口
api.push.apple.com的80、443端口(80端口如果不通,则可能被苹果关闭了)
api.development.push.apple.com的80、443端口(80端口如果不通,则可能被苹果关闭了)
在设备命令控制台sock确认下。
2、需要把EMM的443端口、441端口映射出去,一般会把443端口映射为其他端口,不然没有备案可能被运营商默认封堵。441端口供苹果手机awork注册、管控以及推送消息用,需要开启移动设备管理,但是7.6.8R1已经不再需要MDM证书了。如果没有苹果,只是安卓使用,则不需要映射441端口。
3、在vpn接入界面,下载awork可能会跳转到http端口,由于http的80端口未被映射,可能会导致无法下载awork,这个是版本bug导致,需要在系统配置里将http端口启用,再次禁用即可。默认就是未开启,但是版本bug,还需这么操作下。
4、苹果必须有域名及受信任的SSL证书,以及应用封装是的IOS企业证书,测试的时候可以用深信服试用的IOS企业证书,不过只有120天有效期(过去是1年)。
如果没有域名及受信任的SSL证书,比如使用EMM设备的SSL证书,使用深信服试用的IOS企业证书,这时安卓和苹果的APP也可以封装,安卓的awork以及封装的APP可正常使用,苹果的awork也可以下载安装,并且在应用商店里可以看到封装的APP,但是由于没有域名及受信任的SSL证书,会导致应用商店里的APP无法下载,下载进度是0%。如果更新了SSL证书后,已经封装的苹果APP仍然可以使用,不用重新封装。如果变为域名后,需要将移动设备管理和应用商店的地址修改为域名。
5、关于苹果的IOS企业证书,需要1个P12格式证书及其密码,以及1个mobileprovision格式的主程序描述文件和1个mobileprovision格式的插件程序描述文件。如下图:
这是新版本的要求,目前深信服官方文档还未更新,官方文档里还是只要1个P12格式证书、1个mobileprovision格式文件、1个cer格式文件,https://bbs.sangfor.com.cn/vpnsdk/SSL_EMM_CONFIGURE_CERTIFICATE.html
6、对于防截屏和水印功能可正常开启,对于有的APP需要调用相机、相册、百度地图、微信等其他APP,文件系统隔离等功能暂时不开启。
7、新版本采用系统管理员、安全管理员、审计管理员。
深信服EMM封装应用使用掉线的解决办法
深信服EMM 2150-Q设备,软件版本7.6,使用EMM标准版,做应用封装和awork双域隔离,封装的应用为通达OA安卓版的APP,使用awork发现会出现频繁掉线的问题,只需要将发布的L3资源类型由other改为tcp即可。